1st Meeting
Security:
“Kualitas atau keadaan menjadi aman-bebas dari bahaya” menjadi aman adalah dilindungi dari
musuh atau bahaya lain.
Beberapa area spesialisasi keamanan :
Physical Security
Strategi utk melindungi orang, aset fisik, dan tempat kerja dari berbagai ancaman.
Operations Security
Fokus pada mengamankan kemampuan organisasi utk menjalankan kegiatan
operasionalnya.
Communications Security
Perlindungan sebuah media komunikasi, teknologi, dan konten organisasi.
Network Security
Perlindungan alat data networking, koneksi dan konten sebuah organisasi.
management.
• KEY CONCEPTS OF INFORMATION SECURITY
The CIA triangle, the basis of CNSS model of InfoSec.
The CIA triangle didasarkan pada tiga karakteristik yang diinginkan dari informasi :
confidentiality, integrity and availability.
The CIA triangle telah dikembangkan menjadi daftar yg lebih komprehensif tentang
karakteristik kritis dan proses, termasuk privacy, identifikasi, otentikasi, otorisasi, dan
akuntabilitas.
• CNSS SECURITY MODEL
Committee on National Security Systems (CNSS) formerly known as the National
Security Telecommunications and Information Systems Security Committee (NSTISSC).
The CNSS security model, also known as the McCumber Cube.
Cepat menjadi standar untuk banyak aspek dari sistem keamanan informasi.
Figure 1-2, CNSS security model, shows the three dimensions central to the discussion of
information security.
3 x 3 x 3 cube with 27 cells, setiap sel merupakan area persimpangan antara ketiga
dimensi yang harus diatasi untuk mengamankan sistem informasi.
Tujuan utama dari model ini adalah untuk mengidentifikasi kesenjangan dalam cakupan
program keamanan informasi.
Confidentiality
Karakteristik informasi dimana mrk yg hanya dengan cukup hak dan kebutuhan yang perlu
dipenuhi dapat mengakses informasi tertentu.
Integrity
Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi terancam ketika
terkena korupsi, kerusakan, kehancuran, atau gangguan lain dari keadaan aslinya.
Availability
karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yg
berguna tanpa interfensi atau obstruksi.
Privacy
informasi yg dikumpulkan, digunakan dan disimpan oleh sebuah organisasi ditujukan hanya utk
tujuan yg dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan
digunakan hanya dalam cara yg diketahui oleh orang yg menyediakannya.
Identification
Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu.
(username atau ID lainnya)
Authentication
terjadi ketika kontrol membuktikan bahwa pengguna memiliki identitas yg ia klaim.
Authorization
Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit
disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset
informasi.
Accountability
Informasi ada ketika kontrol memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat
dikaitkan dengan seseorang bernama atau proses otomatis.
Management:
Proses mencapai tujuan menggunakan seperangkat sumbe daya tertentu.
• BEHAVIORAL TYPES OF LEADERS
There are three basic behavioral types of leaders:
The Autocratic:
Menyimpan semua tanggun jawab pengambilan keputusan bagi diri mereka sendiri, dan jenis manajer
yg “lakukan apa yg saya katakan”.
The Democratic:
biasanya mencari masukan dari semua pihak yang berkepentingan, meminta ide dan saran, dan
kemudian merumuskan posisi yang dapat didukung oleh mayoritas.
The Laissez-Faire:
Sering hanya duduk dan membiarkan proses berjalan sebagaimana mestinya, hanya membuat sedikit
keputusan to menghindari membawa proses pada perhentian sempurna.
• MANAGEMENT CHARACTERISTICS
The two basic approaches to management are:
Traditional management theory, yg menggunakan prinsip utama planning, organizing,
staffing, directing, and controlling (POSDC).
Popular management theory, yg mengkategorikan prinsip manajemen kedalam
planning, organizing, leading and controlling (POLC)
Planning
Proses mengembangkan, menciptakan, dan mengimplementasikan strategi utk mencapai objektif. There
three level of planning are:
Strategic Planning
Tactical Planning
Operational Planning
Organizing
Fungsi Manajemen yg didedikasikan untuk penataan sumber daya untuk mendukung pencapaian tujuan.
Leading
Mendorong pelaksanaan fungsi perencanaan dan pengorganisasian. Ini termasuk mengawasi perilaku
karyawan, kinerja, kehadiran, dan sikap. Controlling
Pemantauan kemajuan penyelesaian, dan melakukan penyesuaian yang diperlukan untuk mencapai
tujuan yang diinginkan. Secara umum, fungsi kontrol menjamin validitas organisasi dari rencana.
• SOLVING PROBLEMS
Apakah masalah adalah profil rendah atau tinggi, proses dasar yang sama dapat digunakan
untuk menyelesaikannya. Metodologi yang dijelaskan dalam langkah-langkah berikut dapat digunakan
sebagai landasan dasar untuk menyelesaikan masalah operasional banyak.
Step 1: mengenali dan mendefinisikan masalah.
Step 2: mengumpulkan data dan membuta asumsi.
Step 3: mengembangkan solusi yg mungkin
Step 4: menganalisa dan membandingkan solusi yg mungkin
Step 5: memilih, mengimplementasi, dan evaluasi solusi.
Principles of Information Security Management
Karakteristik lebih lanjut dari keamanan informasi dikenal sebagai the six Ps – perencanaan, kebijakan,
program, perlindungan, orang, dan manajemen proyek.
• PLANNING
Planning necessary to:
Mendukung desain
Penciptaan dan implementasi
When all plans are fullfilled:
Semua rencana taktis menyelesaikan tujuan operasional.
Semua tujuan operasional menyelesaikan tujuan strategis di bawahnya.
Several types of InfoSec plans exist:
Incident response planning
Business continuity planning
Disaster recovery planning
Policy planning
Personnel planning
Technology rollout planning
Risk management planning and
Security program planning
Including education, training and awareness.
• POLICY
Kumpulan pedoman organisasi yang mendikte perilaku tertentu dalam organisasi. Three general of
policy:
Enterprise information security policy (EISP) menetapkan nada untuk
departemen Keamanan Informasi Keamanan Informasi dan iklim di seluruh
organisasi.
Issue-specific security policies (ISSP) adalah kumpulan aturan yang
mendefinisikan perilaku yang dapat diterima dalam suatu teknologi yang
spesifik.
System-specific policies (SysSP) bersifat teknis dan / atau manajerial scr
alamiah dan mengendalikan konfigurasi dan / atau menggunakan sebuah
peralatan atau teknologi.
PROGRAMS
Program adalah operasi Keamanan Informasi yang secara khusus dikelola
sebagai entitas yang terpisah.
Sebuah pendidikan keamanan pelatihan dan kesadaran (SETA) program adalah
salah satu entiti tersebut.
PROTECTION
Fungsi perlindungan dilaksanakan melalui serangkaian kegiatan manajemen risiko,
termasuk penilaian risiko dan kontrol, serta mekanisme perlindungan, teknologi, dan
alat-alat.
PEOPLE
orang adalah mata rantai paling penting dalam program keamanan informasi.
area keamanan informasi ini meliputi personil keamanan dan keamanan dari personil.
PROJECT MANAGEMENT
Komponen terakhir adalah penerapan disiplin manajemen proyek secara
menyeluruh untuk semua elemen dari program keamanan informasi.
Manajemen proyek meliputi mengidentifikasi dan mengendalikan sumber daya
yang diterapkan pada proyek, serta mengukur kemajuan dan menyesuaikan
proses kemajuan dibuat ke arah tujuan.
Pertemuan 2
PLANNING FOR SECURITY
Membuat rencana strategi
-Membuat rencana strategis secara keseluruhan dengan memperluas strategi umum dalam
rencana strategis khusus untuk divisi utama.
-Untuk melaksanakan strategi yang luas dan mengubah pernyataan umum ke dalam tindakan,
tim eksekutif harus terlebih dahulu menetapkan tanggung jawab individu.
-Mengkonversikan tujuan dari level strategis ke level berikutnya yang lebih rendah adalah mungkin lebih
berseni dari ilmu pengetahuan.
Tingkat perencanaan
Perencanaan strategis dimulai dengan sebuah transformasi dari umum, laporan ke arah tujuan yang
lebih spesifik dan diterapkan.
Rencana Strategis yang digunakan untuk membuat rencana taktis, dimana rencana itu juga digunakan
untuk mengembangkan rencana operasional.
The CISO (Chief of Information Security Officer) dan manajer keamanan menggunakan rencana taktis
untuk mengatur , memprioritaskan, dan mendapatkan sumber daya yang diperlukan untuk proyek-
proyek besar dan untuk memberikan dukungan bagi rencana strategis secara keseluruhan.
Manajer dan karyawan menggunakan rencana, yang berasal dari rencana taktis,
untuk mengatur, tugas-tugas kerja sehari-hari.
HASIL DIINGINKAN
Lima hasil dasar tata Keamanan Informasi harus mencakup:
- Tahap The SecSDLC terdiri dari 2 fase yang berbeda: the logical design and the physical design.
- Pada tahap desain logis, anggota tim menciptakan dan mengembangkan blueprint untuk keamanan
dan mereka memeriksa dan menerapkan kebijakan kunci yang mempengaruhi keputusan nanti.
- Pada tahap desain fisik, anggota tim mengevaluasi teknologi yang dibutuhkan untuk mendukung
blueprint keamanan, menghasilkan solusi alternatif, dan menyetujui desain akhir.
- Manajer keamanan mungkin berusaha untuk menggunakan model keamanan untuk membimbing
proses desain. Model Keamanan memberikan kerangka untuk memastikan bahwa semua bidang
keamanan juga dibahas.
- Tahap desain dilanjutkan dengan perumusan dari kontrol dan pengamanan yang digunakan untuk
melindungi informasi dari serangan ancaman.
- Ada tiga kategori kontrol: kontrol manajerial, pengendalian operasional, danpengendalian teknis
Figure 2-7 present one recommended approach for dealing with information security
maintenance.
Persiapan Rencana
Perencanaan untuk suatu kejadian dan tanggapan untuk mendapatkan pemahaman rinci tentang sistem
informasi dan ancaman yg dihadapi
Incident Detection
Tantangan bagi setiap tim IR adalah menentukan apakah suatu kejadian merupakan
penggunaan sistem secara rutin atau kejadian yang sebenarnya.
Insiden klasifikasi adalah proses pemeriksaan insiden yang mungkin, atau calon insiden, dan
menentukan apakah itu merupakan kejadian yang sebenarnya
Untuk membantu membuat deteksi insiden yang sebenarnya agar lebih dapat diandalkan, DL
Pipkin telah mengidentifikasi tiga kategori indikator kejadian:
1. Possible Indicators
2. Probable Indicators
3. Definite Indicators
Insiden Respon
Langkah-langkah IR dirancang untuk menghentikan insiden, mengurangi dampaknya, dan
menyediakan informasi untuk pemulihan dari insiden.
Langkah-langkah ini termasuk notifikasi key personel, tugas tugas, dan dokumentasi kejadian.
Insiden Recovery
Setelah kejadian itu telah ada dan sistem kontrol telah kembali, pemulihan kejadian bisa
dimulai.
Setiap individu yang terlibat harus memulai operasi pemulihan didasarkan pada bagian
pemulihan kejadian sesuai rencana IR.
Disaster Classification
Metode umum untuk mengklasifikasikan bencana oleh alam dan buatan manusia.
Cara lain untuk mengklasifikasi bencana adalah dengan kecepatan pengembangan,
rapid-onset dan slow-onset disaster.
Responding to Disaster
Jika fasilitas fisik yang utuh, tim DR harus memulai pemulihan sistem dan data untuk bekerja
terhadap kemampuan operasional penuh.
Crisis Management
Langkah-langkah tindakan yang mempengaruhi orang-orang baik di dalam dan di luar
organisasi yang diambil selama dan setelah bencana.
Tim manajemen krisis bertanggung jawab untuk mengelola kejadian dari perspektif
perusahaan.
Tim manajemen krisis harus mendirikan basis operasi atau pusat komando dekat lokasi
bencana sesegera mungkin.
Untuk menghasilkan kebijakan keamanan informasi yang lengkap, manajemen harus menentukan tiga
jenis kebijakan keamanan informasi. Ketiga jenis kebijakan adalah sebagai berikut:
-Kebijakan keamanan informasi perusahaan
-Isu-spesifik kebijakan keamanan
-Sistem-spesifik kebijakan keamanan.
Enterprise Information Security Policy (EISP):
EISP panduan pengembangan, implementasi, dan persyaratan pengelolaan program keamanan
informasi, yang harus dipenuhi oleh manajemen informasi keamanan, pengembangan IT, IT Operasi, dan
fungsi-fungsi keamanan tertentu.
1.Mengintegrasikan Organisasi Misi dan Tujuan ke EISP
2.Elemen EISP
Kebanyakan EISP dokumen harus memasukkan unsur-unsur berikut:
Tinjauan tentang filosofi perusahaan mengenai keamanan
Informasi tentang struktur organisasi keamanan informasi dan individu yang memenuhi peran
keamanan informasi
ISS Pertemuan 5
Pilihan 1 : IT
Pilihan 2 : Security
Security Managers
Security managers bertanggung jawab untuk operasi sehari-hari dari program
keamanan informasi.
Mengelola teknologi yang membutuhkan pemahaman, tetapi belum tentu
penguasaan teknis.
Table 6-1 menggambarkan contoh kontrol yang dikategorikan dari kedua pendekatan
diatas.
Mandatory Access Control
Mandatory access controls (MAC) diperlukan dan terstruktur serta terkoordinasi
dalam skema klasifikasi data yang menilai tiap informasi sebagaimana tiap user.
Ketika MACs diimplementasikan, user dan pemilik data memiliki kontrol yang
terbatas terhadap akses sumber informasi.
4. Asset Management
8. Access Control
12. Compliance